Visão geral da autenticação do Windows
Este tópico de navegação para profissionais de TI lista os recursos de documentação para as tecnologias de logon e autenticação do Windows que incluem avaliação do produto, guias de introdução, procedimentos, guias de design e implantação, referências técnicas e referências de comandos.
Descrição do recurso
A autenticação é um processo de verificação da identidade de um objeto, um serviço ou uma pessoa. Quando você autentica um objeto, a meta é verificar se ele é genuíno. Ao autenticar um serviço ou uma pessoa, a meta é verificar se as credenciais apresentadas são autênticas.
Em um contexto de rede, a autenticação é o ato de fornecer identidade para um aplicativo ou recurso de rede. Normalmente, a identidade é aprovada por uma operação criptográfica que usa uma chave conhecida somente pelo usuário, como a criptografia de chave pública, ou uma chave compartilhada. O lado do servidor da troca de autenticação compara os dados assinados com uma chave de criptografia conhecida para validar a tentativa de autenticação.
O armazenamento das chaves criptográficas em um local central seguro torna o processo de autenticação escalonável e passível de manutenção. Active Directory Domain Services consistem na tecnologia padrão recomendada para armazenar informações de identidade (incluindo as chaves criptográficas que são as credenciais do usuário). O Active Directory é exigido para as implementações de Kerberos e NTLM padrão.
A variedade de técnicas de autenticação desde um logon simples, que identifica os usuários com base em alguma coisa que somente eles sabem, como uma senha, até os mecanismos de segurança mais avançados que usam algo que o usuário tem, como tokens, certificados de chaves públicas e biometria. Em um ambiente de negócios, os serviços ou usuários podem acessar vários aplicativos ou recursos em muitos tipos de servidores em um único local ou em vários locais. Por esses motivos, a autenticação deve dar suporte a ambientes de outras plataformas e de outros sistemas operacionais Windows.
O sistema operacional Windows implementa um conjunto padrão de protocolos de autenticação, incluindo Kerberos, NTLM, TLS/SSL e Digest, como parte de uma arquitetura extensível. Além disso, alguns protocolos são combinados com os pacotes de autenticação, como Negotiate e Credential Security Support Provider. Estes protocolos e pacotes permitem a autenticação de usuários, computadores e serviços; o processo de autenticação, por sua vez, permite que os usuários e os serviços autorizados acessem recursos de forma segura.
Para obter mais informações sobre a Autenticação do Windows, incluindo
consulte Visão geral técnica de autenticação do Windows.
Aplicações práticas
A Autenticação do Windows é usada para verificar se a informação vem de uma fonte confiável, de uma pessoa ou objeto de computador, como outro computador. O Windows fornece muitos métodos diferentes para alcançar essa meta conforme descrito abaixo.
Para... | Recurso | Descrição |
---|---|---|
Autenticar em um domínio do Active Directory | Kerberos | Os sistemas operacionais Microsoft Windows Server implementam o protocolo de autenticação Kerberos versão 5 e as extensões para autenticação de chave pública. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado na interface SSPI. A autenticação de usuário inicial é integrada à arquitetura de logon único Winlogon. O KDC (Centro de Distribuição de Chaves Kerberos) está integrado aos serviços de segurança do Windows Server que executam o controlador de domínio. O KDC usa o banco de dados do serviço de diretório Active Directory do domínio como o banco de dados das contas de segurança. O Active Directory é exigido para as implementações de Kerberos padrão. Para obter recursos adicionais, veja Visão geral da autenticação Kerberos. |
Autenticação segura na Web | TLS/SSL conforme implementado no Provedor de Suporte de Segurança Schannel | O protocolo TLS (Transport Layer Security) versões 1.0, 1.1 e 1.2, protocolo SSL (Secure Sockets Layer), versões 2.0 e 3.0, protocolo Datagram Transport Layer Security versão 1.0 e o protocolo PCT (Private Communications Transport), versão 1.0 são baseados em criptografia de chave pública. O pacote de protocolos de autenticação do provedor de Canal Seguro (Schannel) fornece esses protocolos. Todos os protocolos Schannel usam um modelo de cliente e de servidor. Para obter recursos adicionais, consulte Visão geral do TLS/SSL (SSP Schannel). |
Autenticar em um aplicativo ou serviço Web | Autenticação Integrada do Windows Autenticação Digest |
Para obter recursos adicionais, consulte Autenticação integrada do Windows e Autenticação Digest e Autenticação Digest avançada. |
Autenticar em aplicativos herdados | NTLM | NTLM é um protocolo de autenticação no estilo desafio-resposta. Além da autenticação, como opção o protocolo NTLM fornece a segurança da sessão, especificamente a integridade e a confidencialidade da mensagem por meio da atribuição e da vedação das funções em NTLM. Para obter recursos adicionais, veja Visão geral de NTLM. |
Aproveitar autenticação multifator | Suporte de cartão inteligente Suporte biométrico |
Cartões inteligentes são resistentes a violações e constituem um método portátil para fornecer soluções de segurança para tarefas, como autenticação do cliente, registro em domínios, assinatura de código e proteção de email. A biometria depende da medição de uma característica física imutável de uma pessoa para identificá-la. As impressões digitais são uma das características biométricas mais usadas, com milhões de dispositivos biométricos de impressões digitais que são incorporados a computadores pessoais e periféricos. Para obter recursos adicionais, consulte Referência técnica do cartão inteligente. |
Oferecer gerenciamento local, armazenamento e reutilização de credenciais | Gerenciamento de credenciais Autoridade de Segurança Local Senhas |
O gerenciamento de credenciais no Windows garante que as credenciais sejam armazenadas com segurança. As credenciais são coletadas na Área de Trabalho Protegida (para acesso de domínio ou local), através de aplicativos ou sites para que as credenciais corretas sejam apresentadas sempre que um recurso é acessado. |
Estender a moderna proteção de autenticação aos sistemas herdados | Proteção Estendida para Autenticação | Esse recurso aprimora a proteção e a manipulação de credenciais ao autenticar as conexões de rede usando a IWA (Autenticação Integrada do Windows). |
Requisitos de software
A Autenticação do Windows é projetada para ser compatível com as versões anteriores no sistema operacional Windows. Porém, os aprimoramentos de cada versão não são necessariamente aplicáveis às versões anteriores. Consulte a documentação sobre os recursos específicos para obter mais informações.
Informações sobre o Gerenciador do Servidor
Muitos recursos de autenticação podem ser configurados usando a Política de Grupo, que pode ser instalada usando o Gerenciador do Servidor. O recurso Windows Biometric Framework é instalado usando o Gerenciador do Servidor. Outras funções de servidores que são dependentes dos métodos de autenticação, como o IIS (Servidor Web) e Serviços de Domínio Active Directory também podem ser instalados usando o Gerenciador do Servidor.
Recursos relacionados
Tecnologias de autenticação | Recursos |
---|---|
Autenticação do Windows | Visão geral técnica de autenticação do Windows Inclui tópicos que abordam as diferenças entre versões, os conceitos gerais de autenticação, cenários de logon, arquiteturas para versões com suporte e configurações aplicáveis. |
Kerberos | Visão geral da autenticação Kerberos Visão geral da delegação restrita de Kerberos |
TLS/SSL e DTLS (provedor de suporte de segurança Schannel) | Visão geral do TLS/SSL (SSP Schannel) Referência técnica do provedor de suporte de segurança Schannel |
Autenticação digest | Referência técnica da autenticação Digest(2003) |
NTLM | NTLM Overview Contém links para recursos atuais e anteriores |
PKU2U | Introdução ao PKU2U no Windows |
Cartão inteligente | Referência técnica do cartão Inteligente |
Credenciais | Proteção e gerenciamento de credenciais Contém links para recursos atuais e anteriores Visão geral de senhas |